En el anterior post sobre La seguridad de la información en la empresa (parte 1) se hizo una aproximación sobre el concepto, sus dimensiones, las medidas necesarias para la protección de la información (salvaguardas) y la realización de un cuadro explicativo sobre los diversos perfiles de información que nos podemos encontrar.
En esta segunda parte lo vamos a completar con:
- Medidas para evitar la fuga de la información.
- Selección de controles que nos ayuden a mejorar la seguridad de la información.
- Cifrado de la información.
MEDIDAS PARA EVITAR LA FUGA DE LA INFORMACIÓN.
Antes de enumerar qué medidas son necesarias, es importante recordar que la prevención de la fuga de información es un proceso continuo que requiere la implementación de medidas técnicas, organizativas y físicas. En base a esto, las empresas deben adaptar las medidas de seguridad a sus necesidades específicas y realizar revisiones periódicas para garantizar su eficacia.
DESDE UN PUNTO DE VISTA DOCUMENTAL ...
Implementar un sistema de clasificación de la información para identificar y categorizar los datos según su nivel de confidencialidad, para lograr esto, el establecer políticas claras sobre el manejo de cada tipo de información, indicando quién puede acceder a ella, cómo debe almacenarse y transmitirse, sería fundamental.
Además de esto, se debe instaurar un control de acceso, que incluye la definición de roles y permisos de acceso específicos para cada usuario/trabajador/individuo , limitando el acceso a la información solo a aquellos que la necesitan para realizar su labor.
Es decir, constituir unos controles de acceso basados en roles (RBAC) o controles de acceso discrecional (DAC) para gestionar los permisos de acceso a la información.
En todo ello, el uso de contraseñas seguras y complejas, y el exigir su cambio periódico, será una garantía para que esa información esté protegida.
En toda empresa se debe realizar campañas de sensibilización y jornadas de formación, con el fin de:
- Capacitar a los empleados sobre la importancia de la seguridad de la información y las mejores prácticas para protegerla.
- Concienciar sobre los riesgos de las fugas de información y las consecuencias que pueden tener para la empresa.
- Enseñar a los empleados a identificar y reportar posibles incidentes de seguridad.
No se debe olvidar el desarrollo y la implementación de políticas y procedimientos claros sobre el manejo de la información, incluyendo la confidencialidad, integridad y disponibilidad, comprendiendo también el cumplimiento en los esquemas de interoperabilidad, protocolos de etiquetado y su secuenciación informacional.
Establecer un plan de respuesta a incidentes para definir los pasos a seguir en caso de una fuga de información y realizar auditorías periódicas para verificar el cumplimiento de las políticas y procedimientos.
Tampoco tenemos que dejar de lado, la puesta en funcionamiento de medidas de seguridad física para proteger los activos de información, como alarmas, cámaras de seguridad y control de acceso a las instalaciones; añadiendo la comprobación de los dispositivos de almacenamiento de datos, los cuales estén protegidos contra robos, pérdidas o daños.
Otro aporte, sería la destrucción de forma segura los documentos y dispositivos de almacenamiento de datos que ya no sean necesarios (destrucción certificada)
DESDE UN PUNTO DE VISTA TÉCNICO DE LA INFORMACIÓN ...
1. Seguridad de la red:
Implementar un firewall para controlar el tráfico de red y bloquear accesos no autorizados. La utilización de software antivirus y anti-malware para proteger los sistemas informáticos de las amenazas cibernéticas, incluyendo el mantenimiento de los sistemas operativos y el software actualizado con los últimos parches de seguridad.
2. Cifrado de datos:
El cifrado consiste en modificar el mensaje original siguiendo una regla, de forma que sólo pueda ser accesible por el destinatario, quien conoce la regla de descifrado. Al proceso de convertir el mensaje original en otro no entendible se le llama cifrado, y al proceso contrario, descifrado.
2.1 Cifrar los datos confidenciales tanto en reposo como en tránsito.
Los datos en reposo, son aquellos datos almacenados en soportes físicos o digitales que no se utilizan activamente ni se mueven.
En cambio, los denominados en tránsito o en movimiento, se tratan de datos que se mueven activamente de un lugar a otro, por ejemplo a través de Internet o de una red privada.
Hay otro tipo de estado, que son los datos en uso, son los que contienen información en uso cuando esta es accedida por una o varias aplicaciones para su tratamiento. Normalmente detrás de la aplicación está un usuario que quiere acceder a los datos para visualizarlos, modificarlos, etc.
2.2 Utilizar claves de cifrado seguras y almacenarlas de forma segura con la implementación de controles para restringir el acceso a las claves de cifrado (1)
3. Control de dispositivos. Para este tipo de control, sería recomendable implementar una solución de gestión de dispositivos móviles (MDM) para gestionar y proteger los dispositivos móviles utilizados para acceder a la información de la empresa.
Además como medida de refuerzo, restringir el uso de dispositivos personales para acceder a la información de la empresa.
Todo esto, complementado con la implementación de políticas de seguridad para el uso de dispositivos USB y otros dispositivos de almacenamiento externos.
4. Soluciones DLP (Data Loss Prevention)
¿Por qué su importancia? La instalación y puesta en marcha de una solución DLP, nos servirá para identificar y prevenir la fuga de información confidencial. Su correcta configuración será una herramienta perfecta para detectar detectar y bloquear intentos de fuga de datos, como la copia de datos a dispositivos externos o el envío de información confidencial por correo electrónico.
Sus ventajas:
Tener claro de qué datos dispones y cómo se utilizan en tu patrimonio digital facilita que la organización identifique accesos no autorizados a ellos para protegerlos de un uso indebido. La clasificación implica aplicar reglas para identificar los datos confidenciales y mantener una estrategia de seguridad de datos conforme a las normativas.
La clasificación automática recopila información (por ejemplo, la fecha de creación de un documento, su ubicación y su uso compartido) para mejorar la calidad de la clasificación de los datos de la organización. Una solución de DLP utiliza esta información para aplicar la directiva de protección, lo cual ayuda a evitar que se compartan datos confidenciales con usuarios no autorizados.
Todas las organizaciones deben adherirse a los estándares, leyes y normativas de protección de datos, asi que una solución de DLP proporciona las funcionalidades de creación de informes necesarias para completar auditorías de cumplimiento, entre las cuales se pueden incluir planes de conservación de datos y programas de formación para los empleados.
Para mantener a raya las amenazas, debes supervisar quién tiene acceso a qué datos, y qué están haciendo con ese acceso. Evita el fraude y las vulneraciones internas mediante la administración de las identidades digitales de empleados, proveedores, contratistas y asociados en la red, aplicaciones y dispositivos, a esto se le denomina monitoreo y auditoría
(1). La información extra y explicativa de las imágenes se pueden consultar en una de las fuentes mencionadas, pero para su comodidad pueden acceder a través de este Acceder a información extra
Fuentes a consultar:
No hay comentarios:
Publicar un comentario